XtremIO: Errore di configurazione LDAP quando si utilizza Secure Channel LDAPS
摘要: Potrebbero verificarsi errori di autenticazione quando l'autenticazione LDAP, utilizzando ldaps, è configurata per gli utenti esterni.
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Informazioni preliminari
In alcuni casi, quando il cliente configura l'autenticazione LDAP per gli utenti esterni, potrebbero verificarsi errori di autenticazione.
I seguenti ambienti XtremIO possono essere interessati da questo problema:
- Software Dell EMC: XtremIO 6.3.2 e versioni successive.
Problema
Quando il cliente configura l'autenticazione LDAP per gli utenti esterni, possono verificarsi errori di autenticazione quando sussistono tutte le seguenti condizioni:
- Il server LDAP serve tramite un canale sicuro ldaps anziché ldap
- Esiste un elemento di configurazione TLS_CIPHER_SUITE ALL:! ECDHE in /etc/openldap/ldap.conf
- La certificazione lato server esistente viene generata tramite la crittografia ECDHE.
Date le condizioni di cui sopra, il lato server restituirà un errore del tipo:
[root@vxms-xbrick820 tmp]# LDAPTLS_REQCERT=never ldapsearch '-x' '-H' 'ldaps://10.xx.xxx.xxx' '-s' 'base' '-D' 'CN=Administrator,CN=Users,DC=dts,DC=xio,DC=com' -w ********** '-l' '1500' '-b' 'CN=xioadmins,CN=Users,DC=dts,DC=xio,DC=com' 'member' 'uniquemember' 'memberUid'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
原因
Problema software dovuto all'incompatibilità di TLS_CIPHER_SUITE ALL:! ECDHE con certificazione lato server generata tramite ECDHE cifrato
解决方案
Per determinare se LDAP è in uso, eseguire il comando xmcli show-user-accounts. La proprietà External-Account è True quando si utilizza LDAP:
Per evitare questo errore, effettuare una delle seguenti operazioni:
Se XMS viene aggiornato a XMS 6.3.2 o versione successiva, questa operazione deve essere eseguita dopo l'aggiornamento.
(tech)> show-user-accounts
Name Index Role External-Account Inactivity-Timeout
tech 1 technician False 10
sara 2 admin True 10
Per evitare questo errore, effettuare una delle seguenti operazioni:
- Rigenerare il file di certificazione insieme alla crittografia oltre ECDHE. Utilizzare lo strumento openssl per generare un nuovo certificato senza utilizzare la suite di crittografia ECDHE, quindi eseguire il comando modify-ldap-config nella console xmcli, ad esempio:
xmcli (tech)> modify-ldap-config ldap-config-id=1 ca-cert-data="-----BEGIN CERTIFICATE-----\n\
xmcli (tech)> ...MIIDxzCCAq+gAwIBAgIJAP6+MUDcIYMbMA0GCSqGSIb3DQEBCwUAMHoxCzAJBgNV\n\
xmcli (tech)> ...BAYTAlJVMQwwCgYDVQQIDANTUEIxDDAKBgNVBAcMA1NQQjENMAsGA1UECgwERGVs\n\
...
xmcli (tech)> ...IWm2qx8C+k891uD3kQp3ipG2c4GMp9y/QA2z8bJhYDVkPHj4k404vHO6CBYlgdMP\n\
xmcli (tech)> ...icN8dZwGqgfc58lct2zZORFJUAjduRGzB0rL4YYJwiuPLOqKTSma5cckef7bR4OB\n\
xmcli (tech)> ...dSvHlrWuRrrtDwk=\n\
xmcli (tech)> ...-----END CERTIFICATE-----"
Modified LDAP Configuration [1]
oppure
- Commentare l'elemento di configurazione TLS_CIPHER_SUITE ALL:! ECDHE in /etc/openldap/ldap.conf.
Se XMS viene aggiornato a XMS 6.3.2 o versione successiva, questa operazione deve essere eseguita dopo l'aggiornamento.
受影响的产品
XtremIO, XtremIO Family, XtremIO X1, XtremIO X2文章属性
文章编号: 000185589
文章类型: Solution
上次修改时间: 19 9月 2025
版本: 11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。